brottsförebyggande arbetet
9 Den personliga integriteten
Statskontorets iakttagelser
Flera spelföretag bedömer att deras hantering av personuppgifter har blivit mer omfattande efter att spellagen började gälla. Men den ökade personuppgiftsbehandlingen beror inte enbart på omregleringen utan även av andra bestämmelser som reglerar hur organisationer får hantera personuppgifter.
Spellagens bestämmelser om personuppgiftshantering är allmänt hållna. Det kan skapa otydlighet för spelföretagen, men även för ansvariga myndigheter.
Det finns oklarheter kring hur spelföretagen använder data som genereras från Spelpaus.se. Det finns därför en risk att uppgifter från Spelpaus.se används för andra ändamål än vad som är lagligt.
Spelinspektionen och spelföretag behöver behandla personuppgifter om enskilda spelare för att kunna följa den nya lagstiftningen. Det gäller uppgifter om personer som kan uppfattas som integritetskänsliga. Vi utvärderar den personliga integriteten genom att följa hur spelföretagen hanterar personuppgifter samt personuppgiftsbehandlingen till följd av självavstängningsregistret Spelpaus.132
132 Vi har även för avsikt att följa hur den personliga integriteten påverkas av de varningsmeddelanden Spelinspektionen kan förelägga internetleverantörer att visa på sajter utan svensk licens (se kapitel 8). Men hittills har Spelinspektionen inte använt sig av detta verktyg.
9.1 Spelföretagens hantering av personuppgifter
Spelföretagen samlar in och sparar omfattande information om spelarna.
Inte minst spelföretagens omsorgsplikt och reglerna mot penningtvätt ställer höga krav på att spelföretagen ska ha kännedom om sina kunder.
9.1.1 Mer omfattande personuppgiftsbehandling nu än före omregleringen
Knappt två tredjedelar av spelföretagen som har besvarat vår enkät anser att behandlingen av personuppgifter har blivit något mer eller betydligt mer omfattande efter omregleringen. Resterande uppger att det inte är någon skillnad jämfört med före omregleringen. Ett par spelföretag framhåller särskilt att kontroller som görs av spelarna har medfört att de hanterar fler känsliga personuppgifter än tidigare. Andra spelföretag uppger i enkäten att det i första hand inte är omregleringen som har påverkat omfattningen av personuppgiftsbehandlingen. De upplever att det snarare är reglerna i dataskyddsförordningen och
penningtvätts-lagstiftningen som har haft betydelse.
9.1.2 Ännu inte preciserat vilka personuppgifter som spelföretagen får behandla
Av utredningen och propositionen som föregick den nya spelregleringen framgår att spellagen är avsedd att vara en ramlag.133 I propositionen finns därför inga detaljerade bestämmelser om vilka personuppgifter som får behandlas för att spelföretagen exempelvis ska kunna uppfylla omsorgs-plikten. I stället är det enligt propositionen tänkt att närmare bestämmelser om vilka personuppgifter som får behandlas ska utvecklas genom en förordning eller genom en föreskrift från en myndighet.
133 SOU 2017:30 En omreglerad spelmarknad och Prop. 2017/18:220 En omreglerad spelmarknad.
Integritetsskyddsmyndigheten (dåvarande Datainspektionen134) var kritisk till denna hållning i sitt remissvar till utredningens förslag.135
Myndigheten ansåg att utredningen varken hade preciserat eller analyserat hur behandlingen av personuppgifter inom ramen för spellagen påverkar den enskildes integritet. Det var därför svårt för IMY att bedöma om spellagens bestämmelser om personuppgifter skulle vara lagliga och lämpliga. IMY antar att det är svårt för spelföretagen att veta hur de ska hantera personuppgifter eftersom förarbetena är så oprecisa. Det framgår i en intervju med Statskontoret.
Enligt spellagen har regeringen eller den myndighet som regeringen utser rätt att meddela föreskrifter om spelföretagens
personuppgifts-behandling.136 Vi tolkar att dessa föreskrifter ska tydliggöra för spel-företagen vilka personuppgifter de får behandla samt för vilka ändamål.
Regeringen har i nuläget inte bemyndigat någon myndighet att meddela föreskrifter. I spelförordningen (2018:1475) har regeringen i stället tydliggjort hur personuppgifter får behandlas inom ramen för Spelpaus.se.
Integritetsskyddsmyndigheten har tidigare påpekat att det som anges i spelförordningen om hur personuppgifter får behandlas i Spelpaus.se samt vilka bestämmelser om personuppgiftsbehandling som gäller för licens-havarnas del är otydligt.137
I propositionen framgår att regeringen planerar att genomföra en fördjupad analys av vilka konsekvenser personuppgiftsbehandling i samband med spel kan få för den enskildes personliga integritet.138 En sådan
konsekvensanalys har ännu inte genomförts.
134 Datainspektionen bytte namn till Integritetsskyddsmyndigheten den 1 januari 2021.
Vi använder hädanefter Integritetsskyddsmyndigheten eller förkortningen IMY när vi omtalar myndigheten även om underlagen baseras på uttalanden från myndigheten före den 1 januari 2021.
135 Datainspektionen (2017). En omreglerad spelmarknad (SOU 2017:30). Remissvar.
136 21 kap. 15 § spellag (2018:1138).
137 Datainspektionen (2018). Remiss av utkast till spelförordning.
138 Prop. 2017/18:220. En omreglerad spelmarknad, s. 175.
9.2 Spelpaus innehåller integritetskänslig information
Det nationella självavstängningsregistret Spelpaus.se gör det möjligt för spelare att stänga av sig från spel på spelsajter, hos spelombud och på travbanor (se även kapitel 6). En spelare som stänger av sig från spel via Spelpaus.se behöver uppge personuppgifter i form av personnummer.
När en spelare registrerar sig, loggar in på en spelsajt eller spelar hos ett spelombud kontrollerar spelföretaget att spelarens personnummer inte finns i Spelpaus.se. Denna kontroll ska ske automatiskt. Spelföretagen använder också Spelpaus.se för att kontrollera om kunden kan ta emot marknadsföring. Är användaren avstängd får spelföretaget inte skicka reklam.
Spelinspektionen är personuppgiftsansvarig för Spelpaus.se. Det innebär att myndigheten får behandla de personuppgifter som behövs för att uppfylla syftet med registret, det vill säga att göra det möjligt för spelare att stänga av sig från spel.139
9.2.1 Det finns tecken på att uppgifter från Spelpaus.se används fel
Enligt Spelinspektionen görs i genomsnitt knappt 30 miljoner kontroller per dag mot Spelpaus.se.140 Körningarna handlar då både om att
kontrollera inloggningar och om spelföretaget får skicka marknadsföring.
När företagen gör kontroller för att en spelare loggar in innebär det att registret samlar information om vid vilken tidpunkt varje enskild spelare spelar.
Vi har under arbetet med delrapporten blivit uppmärksammade på att en del spelföretag gör ett stort antal kontroller mot Spelpaus.se i förhållande till hur många registrerade kunder de har. Detta förekommer främst mot den delen av systemet där företagen gör kontroller i samband med direkt-reklam. Att spelföretagen gör så många kontroller kan enligt Spel-inspektionen tyda på att informationen från Spelpaus.se även används för
139 Spelinspektionen (2021). Integritet och behandling av personuppgifter.
140 Spelinspektionen (2020). 29,7 miljoner kontroller per dag mot Spelpaus.se.
andra syften än vad som är avsett. Det skulle till exempel kunna vara så att spelföretagen lagrar informationen från Spelpaus.se för att använda dem till något annat än att kontrollera om spelaren är avstängd.
Spel-inspektionen har också genom tips fått indikationer på att personer som är avstängda i Spelpaus.se har fått reklamutskick från olicensierade
spelföretag.141 Enligt myndigheten kan det vara ett tecken på att dessa spelföretag har kommit över personuppgifter från Spelpaus.se.
Spelinspektionen har arbetat vidare med detta och initierade under 2020 ett möte med Integritetsskyddsmyndigheten för att få klarhet i om misstankarna bör leda till några åtgärder, till exempel tillsyn från IMY.
IMY ansåg att Spelinspektionen inom ramen för sitt personuppgiftsansvar i första hand skulle bedöma om den information som de lämnar ut till spelföretagen ligger i linje med vad lagstiftningen föreskriver.
Spelinspektionen kontaktade under hösten 2020 spelföretagen för att kartlägga om det finns tecken på missbruk av hur Spelpaus.se används.
Resultatet av kartläggningen har presenterats för Integritetsskydds-myndigheten. Spelinspektionen bedömer utifrån kartläggningen att den personuppgiftsbehandling som myndigheten gör när de lämnar uppgifter till spelföretagen är korrekt och följer de som bestämmelser som finns i lagen. Mot denna bakgrund har IMY inte gått vidare med frågan. Men att Spelinspektionen lämnar ut uppgifter på ett korrekt sätt är inte en garanti för att spelföretagen å sin sida hanterar uppgifterna på ett lagligt sätt, enligt Spelinspektionen.
Men det är inte klarlagt om det finns någon grund för att spelföretagen missbrukar uppgifter från Spelpaus.se. Spelinspektionen har inom ramen för sitt uppdrag inga möjligheter att kontrollera om spelföretagen följer reglerna om personuppgiftsbehandling. Det ansvaret ligger hos
Integritetsskyddsmyndigheten som är tillsynsmyndighet för frågor om integritets- och dataskydd.
141 Spelinspektionen (2020). Utvecklingen på spelmarknaden, och vidtagna åtgärder, med anledning av det nya coronaviruset. Delrapport 2 enligt regeringens beslut (Fi2020/01922/OU).
9.3 IMY har ännu inte genomfört tillsyn av spelmarknaden
Spelföretagen hanterar en stor mängd och i viss mån även känsliga personuppgifter. Som vi beskriver tidigare i kapitlet uppger flera av spelföretagen som har svarat på vår enkät att personuppgiftsbehandlingen har blivit mer omfattande efter omregleringen. Enligt Integritetsskydds-myndigheten finns det fortfarande oklarheter i hur spelföretagen ska tolka bestämmelserna om personuppgiftsbehandling. Det kan öka risken för att spelföretagen bryter mot de regler som gäller. Det finns även frågetecken om personuppgifterna från Spelpaus.se verkligen används för de ändamål de är avsedda för eller om de missbrukas på andra sätt.
Integritetsskyddsmyndigheten har hittills inte genomfört någon tillsyn av spelföretagen. Statskontoret uppfattar att myndigheten inte heller planerar några tillsynsinsatser i närtid. Mot bakgrund av att det finns vissa
oklarheter kring spelföretagens personuppgiftsbehandling anser
Statskontoret att IMY bör ta ställning till om myndigheten behöver inleda tillsyn av hur spelföretagen behandlar personuppgifter och om hanteringen görs på ett lagligt sätt. Även Spelinspektionen har lyft fram att IMY bör genomföra tillsyn av spelföretagens hantering av personuppgifter.142
142 Spelinspektionen (2021). Förtydligande skrivelse angående hantering av personuppgifter som hämtats från Spelpaus.se.